Chrome 80 mit SameSite-Cookies und ohne FTP

Soeben hat Google die neueste Version 80 seines Chrome-Browsers veröffentlicht. Damit verwirklichen die Entwickler des Browsers unter anderem lange angekündigte Änderungen beim Umgang mit Cookies . Der Umgang mit SameSite-Cookies Mit Chrome 80 werden alle Cookies, die das Same-Site-Attribut nicht verwenden, so behandelt, als setzten sei das Attribut „SameSite=Lax“ gesetzt. In dem neuen Browser wird der externe Zugriff auf Cookies von Dritten nur noch dann gestattet, wenn sie explizit als „SameSite=None“ deklariert sind. Auch das Attribut „Secure“ muss dabei gesetzt werden, das den Zugriff via HTTPS erzwingt. Dadurch werden alle Cookies ohne das SameSite-Attribut auf First-Level-Domains beschränkt. Der Umgang mit Mixed Content Mit Version 80 von Googles Chrome-Browser setzen die Entwickler außerdem weitere Änderungen um, mit denen HTTPS-Mixed-Content abgeschafft werden soll. Auf längere Sicht sollen dafür alle HTTP-Ressourcen vollautomatisch auf HTTPS umgestellt werden. Das macht der Browser schon jetzt so weit wie möglich mit Audio- und Videocontent. Kann der aber dann nicht geladen werden, bleibt es weiter bei HTTP. Das Laden von Bildern über eine HTTP-Verbindung auf einer HTTPS-Domain unterstützt der Browser weiterhin. Dabei wird die Internetseite dann allerdings weiterhin als nicht sicher angezeigt. Damit schickt Google eine klare Botschaft an die Seitenbetreiber, endlich ihre Seiten auf HTTPS umzustellen. Wie man Mixed Content finden und beseitigen kann, zeigt ein [...]

2020-02-06T11:10:06+02:00Februar 6th, 2020|Browser, Coding, HTML, Sicherheit|Kommentare deaktiviert für Chrome 80 mit SameSite-Cookies und ohne FTP
Weiterlesen

Browser Chrome will Mixed Content blockieren

Die Entwickler von Googles Chrome-Browsers planen, in mehreren Schritten dafür zu sorgen, dass HTTPS-Internetseiten künftig nur noch HTTPS-Subressourcen laden können, wie das Team im Chromium-Blog schreibt. Sochen sogenannten Mixed Content, also unverschlüsselte HTTP-Subressourcen innerhalb einer ansonsten verschlüsselten HTTPS-Webseite, soll Chrome demnach in seinen kommenden Versionen standardmäßig blockieren. Die Gründe für das Blockieren von Mixed Content Nach Googles eigenen Statistiken surfen die Chrome-Nutzer schon heute in 90 Prozent ihrer Arbeitszeit mit dem Browser auf sicheren HTTPS-Webseiten, die  derzeit aber immer noch Probleme mit dem Mixed Content hätten. Zwar werden hier viele derartige Inhalte wie etwa Iframes und Skripte schon blockiert , aber Bilder, Audio- und Videoinhalte sind aktuell immer noch gestattet. Das gefährde aber die Privatsphäre und die Sicherheit der Benutzer. In ihrem Blog-Eintrag begründen die Entwickler ihre Entscheidung damit, dass durch den Mixed Content nicht nur bestimmte Angriffe ermöglicht werden könnten, sondern die Nutzung von Mixed Content auch zu einer "verwirrenden" Browser-Erfahrung für die Nutzer führe. Denn schließlich ist die genutzte Seite weder vollständig abgesichert noch komplett unsicher – sie bewegt sich irgendwo dazwischen. Neuerungen für kommende Versionen Mit der im Dezember erwarteten Chrome-Version 79 soll der Browser eine neue Funktion bekommen, mit der das Blockieren des Mixed Content aufgehoben werden kann. Das betrifft aktuell blockierte Inhalte wie Iframes [...]

2019-10-09T11:37:31+02:00Oktober 9th, 2019|Browser, Coding, HTML|Kommentare deaktiviert für Browser Chrome will Mixed Content blockieren
Weiterlesen

Chrome unterstützt FTP nicht mehr

Die Entwickler des Chrome-Browsers bei Google haben angekündigt, dass sie die Unterstützung für das File Transfer Protocol (FTP) aus Chrome entfernen wollen. Zur Begründung sagten sie, FTP werde kaum noch benutzt und wenn doch, dann meist ohne irgendeine Verschlüsselung oder Authentifizierung. Nach den Statistiken von Chrome nutzen weniger als 0,1 Prozent der User FTP im Browser. Schon seit längerer Zeit verabschieden sich auch die Browserhersteller nach und nach von FTP. Chrome rendert zum Beispiel schon jetzt keine Inhalte mehr, wenn sie von FTP-URLs stammen und blockiert FTP-URLs, die von anderen Seiten  beispielsweise als Bilder eingebunden werden. FTP-Verschlüsselung in Browsern nie eingesetzt Hinzu kommt auch noch, dass es zwar theoretisch TLS-Support für FTP für eine Verschlüsselung gibt, aber Browser dies nie unterstützt haben. Dehalb können FTP-Downloads über den Browser auch immer manipuliert werden. Ein Man-in-the-Middle-Angreifer könnte deshalb zum Beispiel bei einen Softwaredownload einfach durch eine Schadsoftware ersetzen. Anno Dunnemals war FTP ja durchaus eine gängige Methode für Softwaredownloads, aber inzwischen hat sich hier verschlüsseltes HTTPS weitgehend als Alternative durchgesetzt. Deshalb haben auch die Linux-Kernel-Entwickler ihren FTP-Server schon vor über zwei Jahren abgeschaltet.

2019-08-17T23:41:23+02:00August 17th, 2019|Allgemein, Browser, HTML|Kommentare deaktiviert für Chrome unterstützt FTP nicht mehr
Weiterlesen

HTML5-Sicherheitsupdates für den Browser Firefox

Probleme mit HTML5 haben Mozilla jetzt veranlasst, Sicherheitsupdates herauszubringen: Die Browser Firefox, Firefox ESR und der anonymisierende Tor Browser, die Eintrittskarte für das Dark Net, sind durch HTML5 verwundbar. Alle Benutzer sollten deshalb die von Hersteller Mozilla herausgegebenen, abgesicherten Ausgaben umgehend installieren. Mozilla stuft das Risiko in seiner Sicherheitswarnung dazu insgesamt als "kritisch" ein. Details zu den Sicherheitslücken Wenn Angreifer die Lücken ausnutzen, sollen sie in vielen Fällen Speicherfehler auslösen können. Wenn das dann passiert ist, stürzen Programme in aller Regel ab (DoS-Attacke). Auf diesem Weg aber ist es dann aber auch häufig möglich, Schadcode ausführen zu lassen. In einem Fall (CVE-2018-18500) reicht es nach Angaben von Mozilla schon aus, wenn Firefox bestimmte HTML5-Streams verarbeitet, um einen Angriff durchzuführen. Mozilla hat abgesicherte Versionen von Firfox 65, Firefox ESR 60.5 und Tor Browser 8.0.5 zum Download bereitgestellt. Der Tor Browser die Sicherheitslücken deshalb auf, weil er auf dem Firefox ESR aufbaut. Laut einem Blog-Eintrag der Tor-Entwickler haben sie bei dieser Gelegenheit auch noch weitere Bugs gefixt und auch aktuelle Versionen von HTTPS Everywhere und NoScript implementiert.

2019-02-03T00:46:25+02:00Februar 3rd, 2019|Browser, Coding, HTML|Kommentare deaktiviert für HTML5-Sicherheitsupdates für den Browser Firefox
Weiterlesen

In Firefox 69 wird Adobes Flash deaktiviert sein

Am 3. September dieses Jahres soll der Browser Firefox 69 erscheinen, bei dem das Flash-Plugin standardmäßig deaktiviert sein wird. Das kann man einem Bugzilla-Ticket entnehmen, das von Jim Mathies, Senior Engineering Manager bei Mozilla, erstellt wurde. Schon im Sommer 2017 hatte Hersteller Mozilla angekündigt, das im Grunde nicht mehr nötige Flash schrittweise aus seinem Browser zu entfernen. Das Flash-Plugin muss ab Version 69 also aktiviert werden, ist aber noch nutzbar. Wenn Adobe dann aber "Ende 2020 die Auslieferung von Sicherheitsupdates für Flash einstellt, wird Firefox das Plugin nicht mehr ausführen", erklärt Mozillas Roadmap. Nächstes Jahr ist es mit Flash in Firefox ganz vorbei Anfang 2020 ist dann zumindest für Privatanwender endgültig Schluss mit Flash im Firefox. Enterprise-Kunden können Flash dann noch bis Ende 2020 weiter nutzen. Wer den Firefox ESR benutzt dürfte sich wohl dann mit Firefox 76 von Flash im Firefox verabschieden müssen, schreibt Firefox-Experte Sören Hentzschel. Das Flash-Plugin gehört zu dem letzten NPAPI-Plugins, die der Firefox-Browser überhaupt noch unterstützt, denn die NPAPI-Schnittstelle ist veraltet und stellt ein deutliches Sicherheitsrisiko dar, unter anderem, weil diese Plugins nicht in einer Sandbox laufen. Konkurrent Google hatte sich schon Ende 2013 von NPAPI verabschiedet und die Schnittstelle auch kurz darauf in seinem Chrome-Browser abgeschaltet, und auch Firefox für Android unterstützt schon seit [...]

2019-01-14T20:22:59+02:00Januar 14th, 2019|Browser, Coding, HTML, Webwerkzeuge|Kommentare deaktiviert für In Firefox 69 wird Adobes Flash deaktiviert sein
Weiterlesen

Ab Dezember warnt Chrome 71 vor Abo-Fallen

Ab der neuen Version 71 zeigt der Google-Browser Chrome ganzseitige Warnungen an, wenn Benutzer auf Internetseiten zugreifen, die undurchsichtige Abo-Formulare enthalten. Google will Chrome-Nutzer damit vor dem Abschluss vor Abonnements schützen, die mehr Kosten verursachen, als auf den ersten Blick ersichtlich ist. Der Browser wird automatisch erkennen, wenn der Nutzer zu teuren telefonischen Mehrwertdiensten verleitet werden soll. Dazu reicht meist schon die Eingabe der Telefonnummer zusammen mit einer schnelle Zustimmung - und ab dem Monatsende ziert dann regelmäßig ein zusätzlicher satter Posten die Telefonrechnung. Abo-Fallen an sich sind nicht neu. Websites, die die Benutzer zur Eingabe von Bezahldaten auffordern, ohne ausdrücklich darüber zu informieren, dass mit dieser Eingabe ein Abonnement abgeschlossen wird, gibt es schon seit Jahren. Meistens werden solche Abos dann auch über die monatliche Telefonrechnung abgerechnet. In Deutschland verpflichtet das Gesetz die, so auch, den Kunden eindeutig über ein Abonnement und dessen Kosten und Laufzeit zu informieren. Gerade im Smartphone-Zeitalter erscheinen diesbezüglich nicht eindeutige Angebote auch immer häufiger auf Mobilgeräten – die wichtigen Details werden dabei meist in einer sehr kleinen Schrift oder im ohne Scrollen nicht sichtbaren Bereich der Seite angezeigt. In manchen der Abo-Fallen werden die Bedingungen für ein Abonnement in derselben Schriftfarbe dargestellt wie der Hintergrund, was sie natürlich für Menschen unlesbar macht. Andere Trickser [...]

2018-11-10T23:41:32+02:00November 10th, 2018|Browser, Coding, HTML, Webwerkzeuge|Kommentare deaktiviert für Ab Dezember warnt Chrome 71 vor Abo-Fallen
Weiterlesen

Firefox 61 wird schneller und schlauer

Mozillas Browser Firefox soll "noch intelligenter und schneller als alle anderen" werden. Die frisch erschienene Version 61 beschleunigt unter Windows und Linux unter anderem den Tab-Wechsel. Fährt der Nutzer mit der Maus über einen Tab, dann lädt Firefox dessen Inhalt schon einmal vor (Tab Warming). Klickt der Nutzer abschließend auf den Tab, ist die Webseite schon fertig aufgebaut und wird nur noch angezeigt. APIs für verbessertes Tab-Management Firefox 61 bietet den WebExtensions dazu neue APIs an, die ein flexibleres Tab-Management erlauben. Versteckte Tabs lädt der Browser zwar, aber er zeigt sie nicht an. Erweiterungen können so ganze Gruppen von Tabs beispielsweise austauschen. In der Version für macOS laufen WebExtensions ab sofort in einem eigenen CPU-Prozess, so dass Firefox 61 weiter läuft, wenn eine der Erweiterungen abstürzt. Mehrere Suchmaschinen in der Adressleiste Firefox-Nutzer, die nicht nur Google, sondern auch ander Suchmaschinen nutzen, können jetzt ganz einfach weitere Suchmaschinen in die Adressleiste einfügen. Um beispielsweise die Suche der Internet Movie Database (IMDb) hinzuzufügen, muss man nur imdb.com aufrufen, auf die drei Punkte in der Adressleiste ("Page Action Menu") klicken und dann "Suchmaschine hinzufügen" auswählen. Darüber hinaus unterstützt Firefox jetzt auch die neue Transportverschlüsselung TLS 1.3 und das Dark-Theme wurde feinjustiert. Firefox 61 steht ab sofort für Windows, macOS und [...]

2018-06-26T23:59:36+02:00Juni 26th, 2018|Browser, CSS, HTML, Webwerkzeuge|Kommentare deaktiviert für Firefox 61 wird schneller und schlauer
Weiterlesen

Browser Chrome sieht HTTPS als Standard

Googles Browser Chrome setzt künftig voraus, dass die Verschlüsselung von Internetseiten mit sicherem HTTP (HTTPS) als Standard angesehen werden kann. Es beginnt mit Chrome 69... Deshalb markiert der Browser  solche Seiten in Zukunft nicht mehr mit dem grünen Schloss und dem Wort „Sicher“ in der Adressleiste. Diese Änderung soll mit der Einführung von Chrome 69 im September eingeführt werden. HTTP-Seiten ohne Verschlüsselung kennzeichnet Chrome zurzeit nur mit einem grauen Ausrufungszeichen. Ab der Version 68, die im Juli veröffentlicht werden soll, erscheint neben dem Ausrufungszeichen zusätzlich der Hinweis „Unsicher“ gegeben werden. …und geht mit Chrome 70 weiter Mit Chrome 70, der für Oktober geplant ist, soll die Warnung weiter verschärft werden. Dann soll bei allen Texteingaben in unverschlüsselte Websites die Farbe der Verschlüsselungs-Warnung von Grau nach Rot wechseln und das Ausrufezeichen gegen ein rotes Warndreieck ausgetauscht werden. Kostenlose und günstige SSL-Zertifikate Heutzutage sind Zertifikate für die Verschlüsselung von Websites schon bei so manchen Anbietern schon fester Bestandteil von Hostingpaketen. Außerdem bietet unter anderem die Non-Profit-Organisation Internet Security Research Group mit ihrer Initiative Let’s Encrypt kostenlose SSL-Zertifikate an. Schon länger setzt sich Google für die standardmäßige Verschlüsselung des Datenverkehrs zwischen Browser und Webserver ein. Um die Verbreitung von HTTPS-Websites zu erhöhen, werden sie schon seit mehreren Jahren in [...]

2018-05-22T16:40:00+02:00Mai 22nd, 2018|Browser, HTML, Webwerkzeuge|Kommentare deaktiviert für Browser Chrome sieht HTTPS als Standard
Weiterlesen

Google will unerwünschte Weiterleitungen verhindern

Hersteller Google hat gerade neue Sicherheitsfunktionen für seinen Browser Chrome angekündigt. die Nutzer besser vor unerwünschten Inhalten schützen sollen. Dabei zielt Google besonders auf die sogenannten Page Redirects, welche die Nutzer meist zu Werbezwecken und ohne jede Vorankündigung auf eine neue Seite umleiten. Solche unerwünschten Weiterleitungen werden nach Google aber häufig nicht von der besuchten Seite, sondern durch eingebettete Inhalte von Drittanbietern veranlasst. „Der Autor der Seite hatte eine solche Weiterleitung nie beabsichtigt“, schreibt Google-Produktmanager Ryan Schoen dazu im Chromium-Blog. Deshalb ignoriere Chrome 64 in Zukunft alle Weiterleitungen aus Iframes von Drittanbietern heraus und zeige stattdessen nur eine Infoleiste an. „Das hält die Nutzer auf der Seite, die sie gerade lesen.“ Redirects aus solchen Iframes heraus wird Chrome künftig nur noch nach einer Interaktion mit dem Benutzer durchführen. Schoen weist aber darauf hin, dass auch solche Interaktionen missbraucht werden können. Als Beispiel beschreibt er den Klick auf einen Link, bei dem sich ein neuer Tab öffnet, während der Ausgangstab im Hintergrund auf eine ganz andere Seite umgeleitet wird. Mit dieser Technik umgeht man letztlich Chromes Popup-Blocker. „Ab Chrome 65 erkennen wir auch dieses Verhalten, zeigen eine Infoleiste an und verhindern, dass der Haupt-Tab umgeleitet wird“, erläutert Produktmanager Schoen im Blogbeitrag.

2017-11-12T11:01:22+02:00November 12th, 2017|Browser, HTML, MySQL, PHP|Kommentare deaktiviert für Google will unerwünschte Weiterleitungen verhindern
Weiterlesen

Kostenlose Google-IDE Android Studio für Apps

Zum Schreiben der Apps genannten Programme für Android-Geräte stehen den Entwicklern viele unterschiedliche Werkzeuge zur Verfügung. Schon seit 2013 bietet Google auch eine eigene Umgebung zu diesem Zweck:Die IDE Android Studio. Nach einem Testbericht in der Zeitschrift iX fallen im praktischen Einsatz keine ausgesprochen drastischen Schwächen des kostenlosen Entwicklungswerkzeugs auf. Ganz im Gegenteil: Mit einer nachvollziehbaren Aufteilung der grafischen Oberfläche, vielen Vorlagen und Beispielen, einem hilfreichen Assistenten und auch Übersetzungsfunktionen können angehende Entwickler recht schnell ihre erste Anwendung für Smartphones und Tablets unter Android erstellen. Auch Tools für Profis Für erfahrenere Programmierer erlaubt das direkte Debugging im Emulator, Fehler einzugrenzen und zu beseitigen. Dabei können sie gleichzeitig die Auslastung des Prozessors, des Grafikchips oder des Arbeitsspeichers beobachten – hilfreich zum Erstellen von Apps ohne Ruckeln oder Wartezeiten. Wenn die Anwendung dann fertig ist, könnte eine wichtige Funktion die IDE noch deutlich verbessern: Die erstellte App können Entwickler nämlich bisher nicht ohne eine zusätzliche Erweiterung direkt aus der IDE heraus in Googles Play Store veröffentlichen – hier könnte der Hersteller noch nachlegen!. Die kommende Version 3.0 (getestet wurde Version 2.3.3) hat sich Google einige weitere praktische Neuerungen ausgedacht, wobei die direkte Unterstützung der Sprache Kotlin wohl das Highlight ist. Eine detaillierte Einführung in die Stärken und Schwächen [...]

2017-09-04T20:45:58+02:00September 4th, 2017|CSS, HTML, Javascript, Webwerkzeuge|Kommentare deaktiviert für Kostenlose Google-IDE Android Studio für Apps
Weiterlesen
Nach oben